TISC 0044-2024 软件供应链安全要求.docxVIP

ICS35.080CCSL00/09

团体标准

T/ISC0044—2024

软件供应链安全要求

Requirementforsoftwaresupplychainsecurity发布稿

2024年1月29日发布2024年2月28日实施

中国互联网协会发布

T/ISC0044—2024

1

目次

前言 2

1范围 3

2规范性引用文件 3

3术语和定义 3

3.1软件供应链 3

3.2软件供应链安全 3

3.3软件供应链生命周期 3

3.4开源组件 3

4软件供应链安全体系模型 3

5安全管理要求 4

5.1组织机构 4

5.2管理制度 4

5.3人员管理 4

5.4过程管理（软件全生命周期） 5

6安全技术要求 5

6.1安全需求设计 5

6.2安全编码开发 5

6.3安全测试验证 5

6.4安全发布运维 6

6.5开源组件合规管控 6

6.6配套文档记录及管理 6

6.7开发测试环境安全配置 6

6.8软件制品安全管理 7

6.9使用环境安全配置 7

6.10漏洞管理 7

T/ISC0044—2024

2

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本标准由中国互联网协会归口。

本文件起草单位：中国信息通信研究院、深圳开源互联网安全技术有限公司、扬州数安技术有限公司、北京风行网安科技有限公司、中国石油昆仑数智科技有限责任公司、中国移动通信集团设计院有限公司、中国电力科学研究院有限公司、中国民航信息网络股份有限公司、中国经济信息社、中建数字科技有限公司、OpenSDV汽车软件开源联盟、北京智精灵科技有限公司、四川赛闯检测股份有限公司、成都信息工程大学、网宿科技股份有限公司、仁寿智仁智慧科技有限公司、四川仁恒智合科技有限公司、江苏大道云隐科技有限公司。

本文件主要起草人：蒋阿芳、马英轩、樊可欣、王颉、菅志刚、王晓龙、郭治文、张志强、滕征岑、张嵩、孙忠伟、肖秀琴、易兴辉、刘玲、缪思薇、周亮、左海峰、杨京煜、王宇、翟冬梅、吴新丽、王勇、王一村、段柯欣、贾大伟、滕召智、梁尧、张坤、方建康、周琼、冯丽、袁丽、黄莎琳、吕士表、杨志伟、廖敏飞、党杜均、邓恒、黄圣超。

T/ISC0044—2024

3

软件供应链安全要求

1范围

本文件规定了的软件供应链安全要求。适用于信息技术产品研发的组织机构对自身的软件供应链安全的建设、评估和改进，适用于第三方开展软件供应链安全检测评估认证。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有修改单）适用于本文件。

GB/T25069—2022

信息安全技术

术语

GB/T36637—2018

信息安全技术

ICT供应链安全风险管理指南

GB/T30279—2020

信息安全技术

网络安全漏洞分类分级指南

GB/T22239—2019

信息安全技术

网络安全等级保护基本要求

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

软件供应链softwaresupplychain

为满足软件供应关系通过资源和过程将需方、供方相互连接的网链结构，可用于将软件产品和服务提供给需方。

3.2

软件供应链安全softwaresupplychainsecurity

指软件供应链生命周期中各环节、过程涉及的软件产品和服务安全、供应关系安全、人员安全及软件供应链基础设施安全的总和。

3.3

软件供应链生命周期softwaresupplychainlifecycle

在软件供应链中，从软件的需求分析开始至软件的废止停用或者供需双方终止协议的整个时期，包括开发环节、交付环节和使用环节，划分为协商、生产、交付、获取、使用、运维、废止7个过程。

3.4

开源组件opensourcecomponent

开放源代码，遵循开源协议进行共享、开发、使用、编译和发布的软件模块，通常是由源代码程序文件构成。

4软件供应链安全体系模型

4

T/ISC0044—2024

漏洞管理

漏洞管理

使用环境安全配置

软